Wie verlässlich ist Open-Source-Software?

Open-Source-Software steckt heute in fast allen digitalen Anwendungen und Infrastrukturen. Gleichzeitig fehlt oft ein klarer Überblick darüber, wie stabil, sicher und nachhaltig einzelne Projekte tatsächlich sind. Genau hier setzt ein Forschungsteam der USTP – University of Applied Sciences St. Pölten an.

Im Rahmen des von netidee geförderten Projekts CroSSD2 (Extending the Critical Open-Source Software Database) wurde die bestehende Plattform CroSSD (Towards a Critical Open-Source Software Database) technisch und inhaltlich umfassend weiterentwickelt. Ziel ist es, die "Gesundheit" von Open-Source-Projekten nicht nur anhand technischer Kennzahlen, sondern auch anhand qualitativer Faktoren bewerten zu können.

Mehr als nur Commits und Aktivität

Bisher basierten viele Bewertungen von Open-Source-Projekten vor allem auf quantitativen Daten wie Anzahl der Entwickler*innen, Commits (also dokumentierten Änderungen am Programmcode) oder Releases. Die Forschungsergebnisse von CrOSSD2 zeigen jedoch: Diese Kennzahlen allein reichen nicht aus.

"Die Qualität von Kommunikation, Dokumentation und Zusammenarbeit spielt eine zentrale Rolle für die langfristige Stabilität von Open-Source-Projekten", erklärt Sebastian Neumaier, Projektleiter und Senior Researcher an der USTP.

Neumaier und sein Team (Lukas Daniel Klausner und Tobias Dam) entwickelten neue KI-gestützte Analyseverfahren, die qualitative Aspekte automatisiert bewerten können. Dazu zählen unter anderem, Freundlichkeit und Umgangston innerhalb der Community, Qualität der Dokumentation, Effizienz von Entwicklungsprozessen und Reifegrad eines Projekts. Die Plattform analysiert dafür große Mengen öffentlich verfügbarer Repository-Daten (Informationen und Aktivitäten aus Open-Source-Projektarchiven auf Plattformen wie GitHub) mithilfe von Natural Language Processing (NLP) und Large Language Modellen (LLM).

Einblicke in die Open-Source-Community

Ein Schwerpunkt von CrOSSD2 lag auf der Zusammenarbeit mit der internationalen Open-Source-Community. Dafür führte das Forschungsteam 22 Interviews mit Entwickler*innen, Maintainer*innen, Community-Manager*innen und Vertreter*innen aus Unternehmen durch. Die Gespräche zeigen ein differenziertes Bild davon, wie Menschen Qualität und Kritikalität von Open-Source-Software einschätzen. Besonders häufig nannten die Interviewpartner*innen Faktoren, wie aktive Communities, gute Dokumentation, breite Nutzung, verlässliche Wartung und transparente Kommunikation. Überraschend komplex erwies sich die Frage, wann Software als "kritisch" gilt. Viele Befragte verbanden Kritikalität vor allem mit Abhängigkeiten innerhalb digitaler Infrastrukturen und den möglichen Folgen eines Ausfalls.

"Die Interviews machten deutlich, dass ein Werkzeug wie CrOSSD in der Praxis stark nachgefragt wird. Insbesondere angesichts immer komplexerer Software-Lieferketten und wachsender Sicherheitsanforderungen", betont Neumaier.

Nutzen für Unternehmen und Entwickler*innen

Die Plattform richtet sich gezielt an Menschen, die mit Open-Source-Software arbeiten oder Entscheidungen darüber treffen müssen. Entwickler*innen und Unternehmen können unterschiedliche Frameworks oder Bibliotheken anhand nachvollziehbarer Gesundheitsmetriken vergleichen. Betreiber*innen kritischer Infrastrukturen erhalten zusätzliche Informationen zu potenziellen Sicherheitsrisiken und Abhängigkeiten in ihren Software-Stacks. Auch Fördergeber*innen und öffentliche Einrichtungen profitieren von aggregierten Analysen und Gruppenvergleichen. Die Plattform ermöglicht beispielsweise einen Überblick über die Gesundheit netidee-geförderter Open-Source-Projekte. Aktuell umfasst CrOSSD mehr als 2.400 Open-Source-Projekte, rund 688.000 analysierte Dokumente und verwaltet rund 72 GB an Daten.

Internationale Vernetzung

Internationale Aufmerksamkeit erhielt das Projekt bei der CHAOSScon EU 2026 in Brüssel. Dort präsentierte das Forschungsteam die Ergebnisse vor Vertreter*innen der internationalen Open-Source-Community, Forschenden und Unternehmen. Die dort geknüpften Kontakte und Diskussionen fließen bereits in die nächsten Entwicklungsschritte ein.

Forschung mit Wirkung: Folgeprojekte bereits in Vorbereitung

Die Ergebnisse aus CrOSSD2 bilden die Grundlage für weitere Forschungsprojekte an der USTP. Das Forschungsteam hat bereits das Folgeprojekt "DigiSov-CrOSSD" eingereicht, das die Plattform gezielt in Richtung digitale Souveränität und Sicherheitsbewertung weiterentwickeln soll. Gemeinsam mit Partner*innen aus Wirtschaft und öffentlicher Verwaltung soll künftig untersucht werden, wie sich Risiken in Software-Lieferketten noch besser erkennen und bewerten lassen. Die Forschungsergebnisse aus CrOSSD2 werden zudem aktuell in wissenschaftlichen Publikationen aufgearbeitet und weiterentwickelt.

Über CroSSD Das Projekt CrOSSD2 wurde im Rahmen der netidee-Förderinitiative unterstützt. Alle entwickelten Software-Komponenten, Dokumentationen und Forschungsergebnisse stehen öffentlich unter offenen Lizenzen zur Verfügung.

Mehr zu den Forschungsprojekten:

* CroSSD2 auf der Forschungswebsite der USTP ( https://research.ustp.at/projekte/crossd2 ) * CroSSD auf der Forschungswebsite der USTP ( https://research.ustp.at/projekte/crossd-towards-a-critical-open-source-software-database ) * CroSSD-Plattform ( https://health.crossd.tech/ ) * CrOSSD2 auf der Webseite von netidee ( https://www.netidee.at/crossd2 )

(Ende)

Aussender: USTP – University of Applied Sciences St. Pölten Ansprechpartner: Maja Sito Tel.: +43 676 847 228 265 E-Mail: maja.sito@ustp.at Website: www.ustp.at